Deseja adicionar cabeçalhos de segurança HTTP no WordPress?
Os cabeçalhos de segurança HTTP permitem que você adicione uma camada extra de segurança ao seu site WordPress. Eles podem ajudar a impedir que atividades maliciosas comuns afetem o desempenho do seu site.
Neste guia para iniciantes, mostraremos como adicionar facilmente cabeçalhos de segurança HTTP no WordPress.
O que são cabeçalhos de segurança HTTP?
Os cabeçalhos de segurança HTTP são uma medida de segurança que permite que o servidor do seu site evite algumas ameaças de segurança comuns antes que elas afetem seu site.
Basicamente, quando um usuário visita seu site, seu servidor web envia uma resposta de cabeçalho HTTP de volta ao navegador. Essa resposta informa aos navegadores sobre códigos de erro, controle de cache e outros status.
A resposta normal do cabeçalho emite um status chamado HTTP 200. Depois disso, seu site é carregado no navegador do usuário. No entanto, se o seu site estiver com dificuldades, seu servidor da Web poderá enviar um cabeçalho HTTP diferente.
Por exemplo, ele pode enviar um erro de servidor interno 500 ou um código de erro 404 não encontrado .
Os cabeçalhos de segurança HTTP são um subconjunto desses cabeçalhos e são usados para evitar que os sites sofram ameaças comuns, como click-jacking, script entre sites, ataques de força bruta e muito mais.
Vamos dar uma olhada rápida na aparência dos cabeçalhos de segurança HTTP e no que eles fazem para proteger seu site.
HTTP Strict Transport Security (HSTS)
O cabeçalho HTTP Strict Transport Security (HSTS) informa aos navegadores da Web que seu site usa HTTPs e não deve ser carregado usando protocolos inseguros como HTTP.
Se você moveu seu site WordPress de HTTP para HTTPs , este cabeçalho de segurança permite que você impeça que os navegadores carreguem seu site em HTTP.
Proteção X-XSS
O cabeçalho X-XSS Protection permite que você bloqueie o carregamento de scripts entre sites no seu site WordPress .
X-Frame-Options
O cabeçalho de segurança X-Frame-Options impede iframes entre domínios ou click-jacking.
X-Content-Type-Options
X-Content-Type-Options bloqueia a detecção de conteúdo tipo mime.
Dito isto, vamos dar uma olhada em como adicionar facilmente cabeçalhos de segurança HTTP no WordPress.
Adicionando cabeçalhos de segurança HTTP no WordPress
Os cabeçalhos de segurança HTTP funcionam melhor quando são definidos no nível do servidor web (ou seja, sua conta de hospedagem WordPress ). Isso permite que eles sejam acionados antecipadamente durante uma solicitação HTTP típica e oferece o máximo benefício.
Eles funcionam ainda melhor se você estiver usando um firewall de aplicativo de site no nível DNS, como Sucuri ou Cloudflare. Mostraremos cada método e você poderá escolher aquele que funciona melhor para você.
Aqui estão links rápidos para diferentes métodos, você pode pular para o que mais lhe convier.
- Adicionando cabeçalhos de segurança HTTP usando Sucuri
- Adicionando cabeçalhos de segurança HTTP usando Cloudflare
- Adicionando cabeçalhos de segurança HTTP usando .htaccess
- Adicionando cabeçalhos de segurança HTTP usando o WordPress Plugin
- Testando cabeçalhos de segurança HTTP
1. Adicionando cabeçalhos de segurança HTTP no WordPress usando Sucuri
Sucuri é o melhor plugin de segurança WordPress do mercado. Se você também estiver usando o serviço de firewall do site, poderá definir os cabeçalhos de segurança HTTP sem escrever nenhum código.
Primeiro, você precisará se inscrever para uma conta Sucuri . É um serviço pago que vem com um firewall de site de nível de servidor, plug-in de segurança, CDN e garantia de remoção de malware.
Durante a inscrição, você responderá a perguntas simples e a documentação da Sucuri ajudará você a configurar o firewall do aplicativo do site em seu site.
Após se cadastrar, você precisa instalar e ativar o plugin gratuito Sucuri . Para mais detalhes, veja nosso guia passo a passo sobre como instalar um plugin do WordPress .
Após a ativação, vá para a página Sucuri Security » Firewall (WAF) e insira sua chave de API do Firewall. Você pode encontrar essas informações em sua conta no site da Sucuri .
Clique no botão Salvar para armazenar suas alterações.
Em seguida, você precisa mudar para o painel da sua conta Sucuri. A partir daqui, clique no menu Configurações na parte superior e, em seguida, mude para a guia Segurança.
A partir daqui, você pode escolher três conjuntos de regras. A proteção padrão, HSTS e HSTS Full. Você verá quais cabeçalhos de segurança HTTP serão aplicados para cada conjunto de regras.
Clique no botão ‘Salvar alterações nos cabeçalhos adicionais’ para aplicar suas alterações.
Isso é tudo, a Sucuri agora adicionará seus cabeçalhos de segurança HTTP selecionados no WordPress. Como é um WAF de nível DNS, o tráfego do seu site é protegido contra hackers antes mesmo de chegarem ao seu site.
2. Adicionando cabeçalhos de segurança HTTP no WordPress usando Cloudflare
A Cloudflare oferece um firewall básico de site gratuito e serviço CDN. Ele não possui recursos avançados de segurança em seu plano gratuito, portanto, você precisará atualizar para o plano Pro, que é mais caro.
Para adicionar a Cloudflare ao seu site, veja nosso tutorial sobre como adicionar a CDN gratuita da Cloudflare no WordPress .
Quando a Cloudflare estiver ativa em seu site, acesse a página SSL/TLS no painel da sua conta Cloudflare e, em seguida, alterne para a guia Certificados de borda.
Agora, role para baixo até a seção HTTP Strict Transport Security (HSTS) e clique no botão ‘Enable HSTS’.
Isso abrirá um pop-up com instruções informando que você deve ter o HTTPS ativado no seu blog WordPress antes de usar esse recurso. Clique no botão Avançar para continuar e você verá as opções para adicionar cabeçalhos de segurança HTTP.
A partir daqui, você pode habilitar HSTS, cabeçalho sem sniff, aplicar HSTS a subdomínios (se eles estiverem usando HTTPS) e pré-carregar HSTS.
Esse método fornece proteção básica usando cabeçalhos de segurança HTTP. No entanto, ele não permite adicionar X-Frame-Options e o Cloudflare não possui uma interface de usuário para fazer isso.
Você ainda pode fazer isso criando um script usando o recurso Trabalhadores. No entanto, a criação de um script de cabeçalho de segurança HTTPS pode causar problemas inesperados para iniciantes e é por isso que não recomendamos.
3. Adicionando cabeçalhos de segurança HTTP no WordPress usando .htaccess
Este método permite que você defina os cabeçalhos de segurança HTTP no WordPress no nível do servidor.
Requer que você edite o arquivo .htaccess em seu site. É um arquivo de configuração do servidor usado pelo software de servidor web Apache mais comumente usado.
Basta conectar-se ao seu site usando um cliente FTP ou o aplicativo gerenciador de arquivos em seu painel de controle de hospedagem. Na pasta raiz do seu site, você precisa localizar o arquivo .htaccess e editá-lo.
Isso abrirá o arquivo em um editor de texto simples. Na parte inferior do arquivo, você pode adicionar o código para adicionar cabeçalhos de segurança HTTPS ao seu site WordPress.
Você pode usar o seguinte código de exemplo como ponto de partida, ele define os cabeçalhos de segurança HTTPs mais usados com configurações ideais:
| 1234567 | <ifModule mod_headers.c>Header set Strict-Transport-Security “max-age=31536000” env=HTTPSHeader set X-XSS-Protection “1; mode=block”Header set X-Content-Type-Options nosniffHeader set X-Frame-Options DENYHeader set Referrer-Policy: no-referrer-when-downgrade</ifModule> |
Não se esqueça de salvar suas alterações e visitar seu site para ter certeza de que tudo está funcionando conforme o esperado.
Nota: Cabeçalhos incorretos ou conflitos no arquivo .htaccess podem acionar 500 Internal server error na maioria dos hosts da web.
4. Adicionando cabeçalhos de segurança HTTP no WordPress usando o plug-in
Esse método é um pouco menos eficaz, pois depende de um plugin do WordPress para modificar os cabeçalhos. No entanto, também é a maneira mais fácil de adicionar cabeçalhos de segurança HTTP ao seu site WordPress.
Primeiro, você precisa instalar e ativar o plugin de redirecionamento . Para mais detalhes, veja nosso guia passo a passo sobre como instalar um plugin do WordPress .
Após a ativação, o plug-in mostrará um assistente de configuração que você pode seguir para configurar o plug-in. Depois disso, vá para a página Ferramentas » Redirecionamento e mude para a guia ‘Site’.
Em seguida, você precisa rolar até a parte inferior da página até a seção Cabeçalhos HTTP e clicar no botão ‘Adicionar cabeçalho’. No menu suspenso, você precisa selecionar a opção ‘Adicionar predefinições de segurança’.
Depois disso, você precisará clicar nele novamente para adicionar essas opções. Agora, você verá uma lista predefinida de cabeçalhos de segurança HTTP na tabela.
Esses cabeçalhos são otimizados para segurança, você pode revisá-los e alterá-los, se necessário. Quando terminar, não se esqueça de clicar no botão Atualizar para salvar suas alterações.
Agora você pode visitar seu site para se certificar de que tudo está funcionando bem.
Como verificar cabeçalhos de segurança HTTP para um site
Agora que você adicionou cabeçalhos de segurança HTTP ao seu site. Você pode testar sua configuração usando a ferramenta gratuita Security Headers . Basta digitar o URL do seu site e clicar no botão Digitalizar.
Em seguida, ele verificará os cabeçalhos de segurança HTTP do seu site e mostrará um relatório. A ferramenta geraria um chamado rótulo de nota que você pode ignorar, pois a maioria dos sites obteria uma pontuação B ou C, na melhor das hipóteses, sem afetar a experiência do usuário.
Ele mostrará quais cabeçalhos de segurança HTTP são enviados pelo seu site e quais cabeçalhos de segurança não estão incluídos. Se os cabeçalhos de segurança que você deseja definir estiverem listados lá, você terminou.
Isso é tudo, esperamos que este artigo tenha ajudado você a aprender como adicionar cabeçalhos de segurança HTTP no WordPress. Você também pode querer ver nosso guia de segurança completo do WordPress e nossa escolha especializada dos melhores plugins do WordPress para sites de negócios.
Se você gostou deste artigo, assine nosso canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook .
Uncategorized
